L’absence d’accès pour les opérateurs AWS

De par sa conception, le Système Nitro n’offre pas d’accès opérateur. Il n'existe aucun mécanisme permettant à un système ou à une personne de se connecter aux hôtes EC2 Nitro, d'accéder à la mémoire des instances EC2 ou d'accéder à des données client stockées sur un stockage d'instance chiffré local ou sur des volumes EBS chiffrés distants. Si un opérateur d’AWS, y compris ceux disposant des privilèges les plus élevés, doit effectuer des travaux de maintenance sur un serveur EC2, il ne peut utiliser qu'un ensemble limité d'API d’administration authentifiées, autorisées, enregistrées et auditées. Aucune de ces API ne permet à un opérateur d'accéder aux données des clients sur le serveur EC2. Comme il s'agit de restrictions techniques conçues, testées et intégrées au Système Nitro lui-même, aucun opérateur AWS ne peut contourner ces contrôles et ces protections.

Comme pour la plupart des décisions d'ingénierie, le choix de concevoir le Système Nitro sans mécanisme d'accès pour les opérateurs nous a obligés à faire des compromis. Dans les rares cas où des problèmes très spécifiques surviennent, l'absence d'accès générique implémenté sur le matériel de production empêche les opérateurs AWS de déboguer sur place. Dans ces rares circonstances, nous devons travailler avec les clients, à leur demande, pour reproduire ces problèmes spécifiques sur du matériel de débogage Nitro, non destiné à la production. Cela peut s'avérer moins pratique que si nos opérateurs pouvaient effectuer le débogage sur place, mais nous sommes convaincus que c'est le meilleur compromis pour nos clients. Cette situation nous oblige également à respecter les normes les plus strictes en matière de qualité et de tests avant la mise en production.